Meerdere bedreigingsactoren, waaronder LockBit ransomware-filialen, maken actief misbruik van een onlangs onthulde kritieke beveiligingsfout in Citrix NetScaler Application Delivery Control (ADC) en Gateway-appliances om initiële toegang tot doelomgevingen te verkrijgen.
Het gezamenlijke advies is afkomstig van het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Federal Bureau of Investigation (FBI), het Multi-State Information Sharing and Analysis Centre (MS-ISAC) en het Australian Cyber Security Centre (ASD’s ACSC) van het Australian Signals Directorate. .
“Citrix Bleed, waarvan bekend is dat het wordt gebruikt door LockBit 3.0-filialen, stelt bedreigingsactoren in staat wachtwoordvereisten en multifactor-authenticatie (MFA) te omzeilen, wat leidt tot succesvolle sessiekaping van legitieme gebruikerssessies op Citrix NetScaler-webapplicatieleveringscontrole (ADC) en Gateway-apparaten, ‘, zeggen de instanties.
“Door het overnemen van legitieme gebruikerssessies verwerven kwaadwillende actoren verhoogde rechten om inloggegevens te verzamelen, zich lateraal te verplaatsen en toegang te krijgen tot gegevens en bronnen.”
De kwetsbaarheid, die wordt bijgehouden als CVE-2023-4966 (CVSS-score: 9,4), werd vorige maand door Citrix aangepakt, maar niet voordat het werd bewapend als een zero-day, tenminste sinds augustus 2023. Het heeft de codenaam Citrix Bleed.
Kort na de openbaarmaking onthulde Mandiant, eigendom van Google, dat het vier verschillende niet-gecategoriseerde (UNC) groepen volgt die betrokken zijn bij het exploiteren van CVE-2023-4966 om zich te richten op verschillende verticale sectoren in Amerika, EMEA en APJ.
De nieuwste bedreigingsacteur die zich bij de exploitatie-bandwagon aansluit is LockBit, waarvan is waargenomen dat deze misbruik maakt van de fout om PowerShell-scripts uit te voeren en tools voor extern beheer en monitoring (RMM) zoals AnyDesk en Splashtop te laten vallen voor vervolgactiviteiten.
De ontwikkeling onderstreept nogmaals het feit dat kwetsbaarheden in blootgestelde diensten nog steeds een primaire toegangsvector zijn voor ransomware-aanvallen.
De onthulling komt op het moment dat Check Point een vergelijkende studie publiceerde van ransomware-aanvallen gericht op Windows en Linux, waarbij werd opgemerkt dat een meerderheid van de families die inbreken op Linux intensief gebruik maken van de OpenSSL-bibliotheek samen met ChaCha20/RSA- en AES/RSA-algoritmen.
“Linux-ransomware is duidelijk gericht op middelgrote en grote organisaties, vergeleken met Windows-bedreigingen, die veel algemener van aard zijn”, zegt beveiligingsonderzoeker Marc Salinas Fernandez.
Het onderzoek van verschillende op Linux gerichte ransomware-families “onthult een interessante trend naar vereenvoudiging, waarbij hun kernfunctionaliteiten vaak worden teruggebracht tot slechts basale encryptieprocessen, waardoor de rest van het werk wordt overgelaten aan scripts en legitieme systeemtools.”
Check Point zegt dat de minimalistische aanpak deze ransomware-families niet alleen sterk afhankelijk maakt van externe configuraties en scripts, maar het ook makkelijker maakt om onder de radar te blijven.
